Cyber Security Governance Analysis in Major Countries and Policy Implications

Journal of The Korea Institute of Information Security & Cryptology

ISSN 1598-3986(Print) ISSN 2288-2715(Online)

https://doi.org/10.13089/JKIISC.2018.28.5.1259

주요국 사이버보안 거버넌스 분석과 정책적 시사점

주 문 호,^† 권 헌 영, 임 종 인^‡ 고려대학교 정보보호대학원

Cyber Security Governance Analysis in Major Countries and Policy Implications

Moon-ho Joo,^† Hun-Yeong Kwon, Jong-in Lim^‡ Graduate School of Information Security, Korea University

요 약

최근 전 세계적으로 사이버위협이 일상화되었으며, 그 범위 또한 단순한 개인의 장난과 사이버 범죄 수준을 넘어 대규모 범죄조직과 국가 주체가 개입된 사이버 테러 및 전쟁으로 확대되고 있다. 이러한 흐름 속에서 빠르게 국가 차원의 대응 전략을 세우지 않는다면 우리나라도 정보통신 강국에서 사이버보안 취약국의 지위로 순식간에 전락할 것이며, 우리의 발달한 정보통신망은 세계가 부러워하는 4차 산업혁명의 기반시설이 아니라 국민 생활에 큰 위협을 가져오는 공격의 매개체가 될 것이다. 국가적 차원에서의 사이버 보안은 민·관·군 등 다양한 주체들이 참여하여 다양 한 분야의 위협정보를 신속히 공유하고 사고 예방을 위한 대비책을 마련하며 유사 시 유기적으로 대응할 수 있을 때 보장될 수 있다. 이러한 점에서 각 부처, 각 주체들의 역할과 책임, 권한이 명확하게 부여되어야 하며, 이를 관리·조 율하며 소통할 수 있는 체제를 구축하기 위한 효과적인 국가 사이버보안 거버넌스의 수립이 요구된다.

이에 본 연구는 실용적이고 효율적인 차세대 국가 사이버보안 거버넌스의 정립을 위해 최근 국가 사이버보안 전 략을 발표하여 사이버보안 거버넌스 체계를 신속히 정비해나가고 있는 미국, 독일, 영국, 일본, 중국 그리고 한국의 사이버보안 전략, 법령, 조직 및 추진 부처별 역할에 대한 분석을 실시한다. 특히 실질적인 거버넌스 구성을 파악하 기 위해 국가의 주요 사이버보안 기능 분류 기준을 제안하고, 해당 분류 기준에 따라 국가 사이버보안 기능별 담당 기관과 수행 전략을 분석한다. 본 연구는 해당 분석 결과를 바탕으로 국내 사이버보안 거버넌스 개선을 위한 시사점 과 개선 방향을 제시하였다.

ABSTRACT

This study analyzes cyber security strategies, laws, organizations, and the roles of the ministries in the US, Germany, UK, Japan, China, and Korea and draws implications for establishing a practical and efficient next generation national cyber security governance. Under this goal, this study analyzes cyber security strategies, laws, organizations, and the roles of the ministries in the US, Germany, UK, Japan, China, and Korea and draws implications for establishing a practical and efficient next generation national cyber security governance.  Based on the results of this analysis, this study suggests suggestions and directions for improvement of domestic cyber security governance.

Keywords: Cybersecurity, Governance, Strategy, National Cybersecurity, Laws 서 론 ¹⁾

Received(06. 04. 2018), Modified(1st: 109. 03.

2018, 2nd: 09. 19. 2018), Accepted(09. 20. 2018)

2)

† 주저자, [email protected]

‡ 교신저자,

I. 서 론

최근 남북 간 긴장 완화 분위기 가운데서도 북한 발 사이버 공격은 계속되고 있다[1]. 남과 북이 판 문점에서 정상회담을 진행하고 있는 도중에도 북한 해커그룹의 사이버 간첩활동은 지속된 것으로 확인되 었고[2], 2018년 4월 27일 판문점 선언 내에 사이 버 공간에 대한 명시적 합의가 없었던 만큼, 북한의 사이버 위협에 대해 안심하기에는 아직 이른 상황이 다. 또한 북한이 대표적인 비대칭 전략 자산인 핵무 기를 포기하게 된다면, 사이버 간첩활동 및 외화벌이 를 목적으로 또 다른 비대칭 전력인 사이버 공격 역 량 강화에 더욱 집중할 가능성도 무시할 수 없다.

최근엔 북한의 사이버 위협뿐만 아니라 미국과 중 국 그리고 러시아를 비롯한 주요국들을 중심으로 ‘사 이버 신냉전’ 체제가 구축되고 있으며[3], 이에 따라 미국, 일본, 독일, 영국은 물론 이스라엘 등의 사이 버안보 강국들이 새로운 ‘국가사이버전략’을 발표하면 서 사이버 전략우위를 확보하기 위하여 각축을 벌이 고 있는 상황이다[4]. 이러한 흐름 속에서 우리나라 도 빠르게 국가 차원의 대응 전략을 마련하지 않는다 면, 정보통신 강국에서 사이버보안 취약국의 지위로 순식간에 전락할 수 있다.

우리나라는 아시아태평양 국가 중 가장 사이버 공 격에 취약한 국가이며[5], 국가 차원의 사이버 공격 과 더불어 개인 차원에서의 정보 유출, 피싱 등 사이 버 범죄, 기업의 영업비밀과 국가 주요 기밀 유출 등 피해사례도 꾸준히 증가하고 있는 추세에 있다. 이러 한 피해는 실제 정치·경제·군사·사회·문화 등 분야를 막론하고 확산되어 국가 안보를 위협하는 수준에 이 르렀으며 정부, 금융, 방송, 통신 등 주요 국가기반 시설을 대상으로 하는 사이버 위협도 지속되고 있다.

나아가 기술의 발전으로 사이버 위협의 양과 질은 지 금까지와는 다른 수준에 이르렀기에 물리적 공간과 사이버 공간, 국가와 민간, 정치와 경제 등 분야를 구분하는 것은 무의미해졌다. 즉, 민·관·군 등 다양 한 주체들이 참여하여 다양한 위협정보를 신속히 공 유하고 사고 예방을 위한 대비책을 마련하고, 유사 시 유기적으로 대응할 수 있는 국가적 차원에서의 사 이버 보안 체계가 간절히 요구되는 시점이 된 것이 다. 이를 위해서는 사이버보안과 관련된 주요 부처들 의 역할과 책임, 권한 등이 명확히 부여되어야 하며, 이를 관리·조율하며 소통할 수 있는 효과적인 국가 사이버안보 거버넌스의 수립이 필요하다.

우리나라는 2005년부터 범정부 차원의 사이버위 기 대응체계와 다양한 대책을 마련해오고 있으며 사 이버 안보 체계 수립, 인력 양성, 연구 개발 지원 등 의 노력들을 수행하여왔으나, 실질적인 국가 사이버 안보 강화로 이어지지 못하였으며 다양한 사이버 공 격에도 효과적으로 대응하지 못하고 있다[6]. 이는 다양한 이유가 있을 것이나 사이버보안 강화와 안전 유지라는 목표를 위해 원칙 기반의 구조를 정립하기 보다는 부처 이기주의와 기관별 이해관계에 의한 역 할 및 책임 분배에 따른 효율적 대응의 어려움, 국가 사이버보안 컨트롤타워의 부재, 인권 및 프라이버시 침해에 관한 국민들의 우려, 정보 공유 체계 및 민관 협력의 효율성 부재 등이 주요 원인으로 꼽힌다 [7][8]. 또한 사이버보안 거버넌스가 역할과 책임, 관계 등을 다룬다는 점에서 명확한 법적 근거를 요함 에도 불구하고 사이버보안 관련 주체들의 역할과 책 임이 법률에 의해 부여되고 있지 못한 상황이다. 미 국, 일본 등 주요 선진국들은 2000년대 초반부터 사 이버 위협에 대응하기 위한 국가적 차원의 대응 체계 를 수립하여왔으며[4], 관련 법적 권한과 역량 강화 를 위해 조직 구조 개편 및 신설과 역할 부여, 다양 한 법제와 정책들을 수립, 시행하고 있다. 국가별 역 사와 사회, 문화적 배경에 따라 통일된 모델을 갖추 고 있는 것은 아니지만, 전반적인 추세는 실질적 조 정 및 집행 권한을 갖춘 의사결정 기관에 컨트롤 타 워 임무를 부여하고 민간을 포함하여 각 부처 및 기 관에 수평적 협력과 정보 공유가 이루어지도록 하고 있다. 이에 반하여 우리나라는 유기적이고 수평적인 협력, 대응체계 부재와 더불어 아직 사이버보안 거버 넌스 체계 마련을 위한 기초가 되는 법적 토대조차 갖추고 있지 못한 상황인 것이다.

이처럼 현 국가 사이버보안 대응체계는 새로운 환 경에 걸맞게 사이버 보안 강화를 위한 목표와 원칙을 제대로 세우고 실질적이며 효율적인 대응체계 마련을 위한 사이버보안 거버넌스를 구성해야 할 때를 맞이 하였다. 이를 위해 본 연구는 실질적인 차세대 국가 사이버보안 거버넌스 정립을 위해 해외 주요국의 사 이버보안 거버넌스 체계를 비교분석하여 시사점을 도 출하는 것을 목적으로 한다. 또한 본 연구는 국가의 주요 사이버보안 기능 분류 기준을 제안하고, 해당 분류 기준에 따라 주요국의 국가 사이버보안 기능별 담당 기관 및 수행 근거를 분석한다. 대상 국가는 최 근 국가 사이버보안 전략을 발표하고 사이버보안 거 버넌스를 신속히 정비해나가고 있는 미국, 독일, 영

Key

Functions Detailed Functions

1. Establish and coordinate national cyber security policy

y Establish and coordinate national cyber security policies and strategies y Establish and coordinate national

cyber security basic plan y Operate National Cyber Security

Center

y National Cyber Security Committee Composition

y Planning and coordination of national cyber security task

y Establishment and coordination of private information protection policy y Establishment and verification of

cyber security budget

2. National Cyber Crisis Response

y Establishment and operation of cyber crisis management system

y Operate Cyber Threat Joint Response Team

3. Public domain cyber security

y Protection of national information network

y National Infrastructure Cyber Security

y Development and distribution of security system for public institutions y Public sector cyber security control

4. Private domain Cyber Security

y Cyber security diagnosis of major infrastructures in private sector y Cyber infringement incident

management

y Private cyber threat information sharing

y Private sector cyber security control

5. Personal Information Protection

y Coordination of national privacy policy y Deliberation and decision of personal

information protection policy y Deliberation and decision of personal

information protection basic/execution

Table 1. Key Functions of National Cyber Security Governance

국, 일본, 중국, 그리고 우리나라를 대상으로 하며, 해당 비교 분석 결과를 바탕으로 국내 사이버보안 거 버넌스의 개선 방향과 시사점을 도출하도록 한다.

II. 국가 사이버보안 거버넌스의 주요 기능 도출

사이버보안 거버넌스는 사이버공간, 즉, 초국가적 네트워크로서 영역 간, 국가 간 물리적 경계가 발생 하지 않는 사이버환경에서 발생 가능한 위험에 대응 하기 위한 노력에 중점을 둔다는 점에서, 안정적인 정보시스템의 도입과 활용을 위한 기존의 IT 거버넌 스와는 차이가 있다[9]. IoT 기술 발전으로 인한 CPS(Cyber Physical System)의 구현으로 국가 가 지켜야 할 대상이 단순히 컴퓨터와 인터넷이 아니 라 이를 매개로 하는 모든 국민, 사물, 공간으로 확 대되었고, 사이버보안의 관념이 컴퓨터 내의 정보를 보호하는 ‘정보보호’의 개념에서 인간의 심리, 물리적 시설, 사회적 평판 등과 같은 비정보자산 (non-information based assets)까지 포괄적이 고 종합적으로 방어하여야 하는 ‘전 영역 보안’의 개 념으로 진화하면서 국가적 차원에서 이러한 사이버위 협에 대응할 수 있는 체계적인 국가 사이버보안 거버 넌스의 구축이 필요해진 것이다.

사이버보안 거버넌스 구축 전략은 조직의 설립 목 적 및 성격, 보호대상과 범위, 정책의 체계와 초점, 정책 추진 과정, 컨트롤타워의 유형 등에 따라 다양 한 방향으로 논의될 수 있다[10]. 본 연구에서는 국 가차원의 사이버보안 대응능력 강화라는 목표 아래 국가 사이버보안 거버넌스가 수행하여야 하는 주요 기능을 도출하고, 실제 각 기능을 담당하고 있는 국 가 부처 및 기관을 분석하는 방법으로 주요국의 사이 버보안 거버넌스 형태를 비교함으로써 국내 사이버보 안 추진체계의 부족한 부분 및 문제점을 도출하고 관 련 개선방안을 제시하고자 한다.

이를 위해 국가 사이버보안 거버넌스 체계를 갖추 고 있는 주요국인 미국, 독일, 영국, 일본, 중국과 우리나라를 포함한 6개국이 사이버보안과 관련하여 최근 10년 간 발표한 국가차원의 사이버보안 전략 25개(미국 5개, 독일 4개, 영국 4개, 일본 4개, 중 국 2개, 한국 6개)와, 사이버보안 관련 법률 67개 (미국 18개, 독일 9개, 영국 9개, 일본 7개, 중국 9 개, 한국 15개)에서 국가가 수행하도록 요구하고 있 는 사이버보안 관련 기능을 망라적으로 분석하여(부 록 참조), 여 국가 사이버보안 거버넌스에 요구되는

주요 기능과 세부 기능을 도출하였다. 분석 결과, 국 가 사이버보안 거버넌스의 주요 기능은 ① 국가 사이 버보안 정책 수립·조정, ② 국가 사이버위기 대응,

③ 공공 영역 사이버보안, ④ 민간 영역 사이버보안,

➄ 개인정보보호, ➅ 사이버보안 산업 부문, ⑦ 사이 버보안 역량 강화, ⑧ 사이버보안 국제협력, ➈ 전자 금융보안, ➉ 의료 보안, ⑪ 산업 보안, ⑫ 사이버보 안 감사, ⑬ 정보보증, ⑭ 사이버 범죄 수사, ⑮ 사 이버 국방, ⑯ 사이버 위협정보 수집 등 16가지로 분류되었으며, 각 기능별 세부 기능은 Table 1과 같다.

plan

y Advising corrective actions for infringement of personal information by public institutions

y Introduction and operation of certification system for personal information protection management system

y Operation of Joint Inspection Team for Personal Information Protection 6. Cyber

Security Industry

y Establish and coordinate cyber security industry regulation policy y Promotion and support policy for

cyber security industry 7. Enhancing

Cyber Security Capability

y Cyber Security R&D

y Enhance cyber security awareness y Training cyber security personnel 8. Cyber

Security International Cooperation

y International cooperation on cyber investigation

y Global cyber threat information sharing

9. Electronic Financial Security

y Establishment of electronic financial security policy

y User protection of electronic financial system

y Securing the safety of electronic financial system

10. Medical information security

y Establishment and promotion of medical security policy 11. Industrial

Security

y Establish and promote industrial security policy

12. Cyber Security Audit

y Establish cyber security audit plan y Federal agency audit and budget cuts

y Audit of major national infrastructure y Private infrastructure audit y Financial institution audit

13. Information Assurance

y Development and certification of public sector information security standards

y Development and certification of private sector information security standards

14. Cybercrime

Investigation y Cybercrime investigation

15. Cyber Defense

y Response to cyber terrorism...

y Establish tactics and strategies for cyber warfare

y Construction of cyber defense system y Cyber Weapons Development and

Research

16. Cyber Threat Information Collection

y Collect domestic cyber threat information

y Collect cyber threat information overseas

y Cyber threat information

management, analysis, and provision

나아가, 도출한 국가 사이버보안 거버넌스 주요 기능의 타당성과 포괄성을 담보하기 위하여 국제적으 로 사이버 및 사이버보안의 수준 측정을 위해 개발된 국제 지표인 소프트웨어연합(Business Software Alliance, BSA)의 사이버보안 대시보드 (Cybersecurity Dashbaord, CSD), 국제전기통 신연합(International Telecommunication Union, ITU)의 세계사이버보안지수(Global Cyber Security Index, GCI), 호주전략정책연구 소(Australian Strategic Policy Institute, ASPI)의 아·태지역 사이버성숙도(Cybersecurity Maturity in the APAC region, CSM)의 평가 항목들에 해당 사이버보안 거버넌스의 주요 기능들이 포함되어 있는지 비교검토를 수행하였다.

Category Cybersecurity

International Index

Key Functions CSD GCI CSM

1. Establish and coordinate national cyber security policy

O O O

2. National Cyber Crisis

Response

O O O

3. Public domain cyber

security

O O

4. Private domain Cyber

Security

O O O

5. Personal Information

Protection

O O

6. Cyber Security

Industry X X

O

7. Enhancing Cyber

Security Capability

O O O

8. Cyber Security

International Cooperation X

O O

9. Electronic Financial

Security X X

O

10. Medical information

security

O

11. Industrial Security X X

O

12. Cyber Security Audit

O O

13. Information

Assurance

O O

14. Cybercrime

Investigation X

O

15. Cyber Defense X X

O

16. Cyber Threat

Information Collection

O O O

* O/X: Presence or absence of item

Table 2. The Relationships between the key

functions of national cybersecurity governance

and cybersecurity international index

Fig. 1. US Cyber Security Implementation System

이에 본 연구는 위와 같은 국가 사이버보안 거버 넌스 주요 기능 분류 기준에 따라 주요국의 사이버보 안 거버넌스를 분석하고자 한다.

III. 주요국 사이버보안 거버넌스 분석 3.1 미국의 사이버보안 거버넌스

미국은 2001년 9.11테러의 발생 이후 본격적으로 국가안보를 위한 법제와 정책 추진 체계를 정비하여 왔다. 2006년 미 국무부 해킹, 2007년 F-35 설계 도 유출, 2014년 북한에 의한 소니 픽쳐스 해킹, 2015년 인사관리처 해킹, 2016년 러시아의 대선 개 입 사건 등 미국은 다양한 사이버 공격의 표적이 되 어왔다. 일련의 사고들을 계기로 미국 정부는 사이버 공격이 국가 안정성을 저해하고 사회적 혼란을 야기 한다는 점에 깊이 공감하여 사이버 보안을 핵심적인 국정 과제로 추진하고 있다.

미국의 사이버보안 추진체계는 최고 의사결정 기 구의 추진력을 기반으로 개별 부처 간의 이해관계를 조율하고, 변화하는 환경에 따라 주요 분야를 중심으 로 유연하게 관련 조직의 구성과 업무 등을 통합, 조 정, 신설하며 유기적이고 효율적인 구성 현황을 보이 고 있다.

또한 미국은 백악관 차원에서 국가 전체의 사이버 보안 정책을 수립, 관리하고 있다. 이를 바탕으로 국

토안보부가 실무적인 차원에서 정책을 시행하고 있으 며 국방부 사이버사령부와 법 집행기관 또한 막강한 권한을 보유하고 있다. 특히 범부처 차원의 사이버 위협 정보 공유 및 위기 시 대응 체계 마련을 위해 국토안보부 내에 국가사이버안보통신통합센터 (NCCIC)를 두고 있으며, 각종 위협정보를 수집, 통합 관리하고 개별 부처와 활발히 공유하며, 종합적 인 보고를 통해 국가 전체의 사이버보안 정책 추진 상황 등을 점검할 수 있도록 국가정보국 내에 사이버 위협정보통합센터(CTIIC)를 운영하고 있다. 뿐만 아니라 미국은 분야별 사이버보안 전문 조직을 개별 적으로 두어 정부부처조정위원회(GCCs) 및 분야별 전문기관(SSAs)를 통해 연방 기관들 간의 협업을 장려하고 있다. 민간 분야는 주요 기반시설 운영자들 을 중심으로 각종 협회 및 기관들이 분야별협력위원 회(SCC)를 구성하고 정보공유분석센터(ISACs)를 설립하여 공동체 차원에서 사이버보안 위협에 대응하 고 있다. 국가는 이를 지원하기 위해 국토안보부에 정보공유분석기관(ISAOs)를 두고 공공, 민간 등 다 양한 구성원간의 협력을 증진시키기 위해 노력하고 있다. 나아가 예산관리처(OMB)는 사이버보안 업무 감사 업무를 맡고 관련 예산을 관리하여 각 부처의 사이버보안 정책 수용 여부를 평가, 판단하여 예산의 낭비를 줄이는 등 효율성을 제고하도록 하고 있다.

이처럼 미국의 사이버보안 추진체계는 정보 공유 및 사고 대응 등 협력 체계가 견고히 구성되어있다는 점과 함께 예산관리처에 막강한 권한을 부여하여 개 별적으로 이루어지고 있는 사이버보안 업무가 충실히 수행될 수 있도록 함으로써 분야별 사이버보안 역량 을 강화하고 조직 간의 긴밀한 협력, 공유 체계를 갖 추고 있다는 것이 특징이다. 이러한 미국의 추진체계 는 크게 정보 공유, 협업 체계, 관리 감독, 역량 강 화, 인식 제고의 5가지 특성을 보이고 있다. 세부 추 진 동력은 정보 공유 및 협업 관련 원칙과 조직들을 정하고 있는 명확한 법적 근거인 사이버안보법 (Cybersecurity Act of 2015)을 바탕으로 얻고 있고, 조직들 간의 협업 체계는 타 법령 및 대통령 령, 각종 기본 계획 등을 통해 구축하고 있다. 나아 가 백악관 차원에서 국가 사이버안보 정책을 추진함 에 따라 국가적 인식이 제고되고 개별 부처의 역량이 증진되며 각종 정책의 효율성이 높다는 장점을 가지 고 있다. 실무적인 면은 국토안보부에 집중시켜 연방 정보보호현대화법(FISMA)을 통해 권한을 강화하되 개별 부처에 각각의 전문 분야에 걸맞은 조직을 두도

Fig. 3. Germany’s Cyber Security Implementation System

Fig. 2. Implementing agency by cyber security function in US [11][12][13][14][15]

록 하고 있다. 이외에도 본 연구에서 분류한 미국의 국가 사이버보안 기능 별 수행 기관은 Fig.2와 같다.

3.2 독일의 사이버보안 거버넌스

연방제 국가인 독일의 사이버보안 체계는 기본적 으로 ꡔ연방정보기술보안청 설치에 관한 법ꡕ(BSIG : BSI-Erri-chtungsgesetz)에 의해 설립된 연방 내무부(BMI) 산하의 연방정보기술보안청(BSI)과 연방통신망청법에 근거한 연방경제기술부(BMIW) 산하의 연방 통신망관리청(BnetzA)이 주로 담당하 고 있다. 이 중 현재 사이버보안과 관련하여 가장 많 은 기능을 담당하고 있는 연방정보기술보안청(BSI) 은 독일이 사이버보안에 대한 위험성과 중요성을 미 리 예측하고 1991년에 설립한 기관이다. 독일의 경 우 사이버보안을 위해 국가적 차원에서 상당한 지원 을 하고 있고 사경제 분야에 있는 기업도 점차 사이 버보안과 관련한 책임의 중대성을 인식하고 대비책을

마련하는 과정에 있다.

독일은 연방정부를 중심으로 다양한 분야에 산재 해 있는 보호 필요 대상에 대한 사이버보안을 보장하 기 위하여 여러 부처가 자신의 소관 분야에서 사이버 보안과 관련한 역할을 분담하고 있다. 독일 총리실을 중심으로 하여 연방정보부(BND), 연방내무부 (BMI), 연방교육연구부(BMBF), 연방국방부 (BM), 연방경제기술부(BMWi)와 같은 부처들이 사이버보안과 관련한 주요 기능을 책임지고 있으며, 그 중에서도 연방내무부(BMI)가 사이버보안 정책을 총괄하는 핵심 역할을 하고 있다. 또한 연방내무부 산하의 연방정보기술보안청(BSI)이 사이버보안 정 책의 집행, 다른 부처·기관 및 민간에 대한 지원, 사 이버 보안 관련 인증 등 광범위한 사이버보안 업무를 담당하고 있으며, 2015년 정보기술 강화법의 입법으 로 인해 더욱 강화된 역할을 부여받게 되었다.

유럽은 최근 EU 집행위원회와 관련된 사이버 공 격의 증가, 사이버 범죄로 인한 EU 국가들의 피해 액 증가 등의 이슈로 인하여 EU는 2016년 ‘네트워 크 및 정보보호 지침’을 발표하고 2018년 5월까지 각 회원국들이 동 지침의 이행을 위한 국내법을 마련 하도록 하였다. 동 지침에 따라 독일은 사이버 보안 에 대한 국가 전략인 ‘독일 국가 사이버보안전략 (2016)’을 발표하였고, 각 지침의 이행을 감독하는 담당 기관을 분명히 명시하고 있으며, 각 분야의 사 이버 위협에 대비한 전문성 있는 사이버 보안사고 대 응팀도 구성하였다. 이처럼 독일은 EU 회원국으로 서 EU의 각종 지침 혹은 규정들을 국내에 전환하여 입법하여야하기에, 사이버보안과 관련된 부문들에 대 해 다양한 전략과 관련 입법이 복합적이면서도 체계

Fig. 5. UK Cyber Security Implementation System Fig. 4. Implementing agency by cyber security

function in Germany [16][17][18][19]

적으로 구성되어 있는 상황이다.

독일은 연방내무부(BMI)가 사이버보안 전략을 총괄하고 내무부 산하의 연방정보기술보안청(BSI) 이 공공부문 사이버보안, 사이버 위기 대응, 사이버 보안 관련 평가·인증 업무 등 광범위한 범위에 대해 실질적인 정책 집행 업무를 추진하고 있다. 연방정보 기술보안청(BSI)은 2015년 정보기술 강화법의 입법 을 통해 주요기반시설에 대한 보안 관련 감독 및 관 리 권한, IT제품, 시스템, 서비스에 대한 보안 조사 및 심사 역할과 권한을 부여받았으며, 이는 독일이 사이버보안 추진체계를 더욱 실질적이고 핵심적인 기 관으로 격상시키고자 하는 의지라고 볼 수 있다.

독일의 사이버보안 거버넌스 추진의 방향은 2016 년 발표한 국가 사이버보안전략을 통해 살펴볼 수 있 다. 전략은 기존에 체계적으로 구성되어 있던 사이버 보안 체계를 더욱 실효성 있고 지속 가능한 형태로 보완 및 강화할 것을 선언하고 있다. 이는 국가 사이 버방위센터 강화, 연방정보기술보안청 내 모바일 사 고 대응팀 창설, 연방범죄수사청 내 신속 대응팀 (QRF) 창설, 연방헌법수호청 내 모바일 사이버팀 창설, 연방정보부의 사이버 조기 경보 시스템 구축, 보안 영역 정보 기술 중앙 센터 설치, 독일 CERT 역할 강화, 연방 정부와 주정부간 협력 강화 등의 정

책으로 나타나고 있다. 또한 사이버보안 관련 역할을 수행함에 있어 각 기관별로 필요한 실질적 권한이나 조직 구성에 대해 고려하고 해당 기능을 더욱 효율적 이고 지속 가능한 형태로 실현시킬 수 있게끔 국가 차원에서 법적 차원, 구조적 차원에서 힘을 실어주고 있는 것으로 보인다. 본 연구에서 분류한 독일의 국 가 사이버보안 기능 별 수행 기관은 Fig.4와 같다.

3.3 영국의 사이버보안 거버넌스

영국은 유럽 내에서만이 아닌 세계적으로도 사이 버보안을 선도하고 있는 국가에 속한다. 매년 사이버 보안 전략의 발표와 더불어 추진 사항 및 진행 현황 에 대한 검토를 진행하고 있고 검토한 내용을 사이버 보안 전략 실행 계획에 반영하는 등 전략 실효성 제 고를 위해 노력하고 있다. 또한 철저한 사이버보안 체계를 통한 관련 개발 등으로 사이버보안 분야에서 모범 국가로 꼽히고 있다.

영국의 사이버보안은 전략, 정책적으로는 내각부 (Cabinet Office)를 중심으로 하여 운영되고 있고, 실무적으로는 정보통신본부(GCHQ)의 국가사이버 보안센터(NCSC)에 의해 운영되고 있다. 영국은 기 존에 정보보호법(Data Protection Act 1998)에 따라 정보보호와 관련된 법규를 마련하고 사이버보안 과 관련된 전략을 펼쳐왔고, 사이버범죄의 인식 확대 와 민간의 대응능력 제고 등을 위해 2009년 6월 최 초로 범정부 차원의 사이버보안 전략을 수립하여 발 표하였다. 이후 사이버보안전략 2011, 사이버보안전 략 2016등을 통해 국가 전반의 사이버안전을 위해, 또한 세계에서 사이버보안을 선도적으로 이끌기 위해 많은 노력을 기울이고 있다. 사이버보안전략 2016에 서는 사이버보안의 효율성을 높이기 위해 정부의 정 책, 조직 및 구조를 단순화시킨다는 내용을 언급했으

Fig. 6. Implementing agency by cyber security function in UK [20][21][22][23]

며, 해당 전략에 따라 국가사이버보안센터(NCSC) 를 설립하고 기존에 다른 부처가 갖고 있던 사이버보 안 기능들을 다수 해당 기관으로 옮겨왔다. 현재 국 가사이버보안센터(NCSC)는 각 정부에 사이버보안 과 관련하여 조언을 하는 역할 뿐만 아니라 위험에 대응하고 사건사고를 관리하며 연구를 진행하는 등 의 역할을 맡고 있다.

영국은 사이버보안전략에 의거하여 내각부 (Cabinet Office)가 중심이 되어 사이버보안 관련 전략 수립의 중추적인 역할을 담당하고 있다. 영국 내각부(CO)는 국가사이버보안전략을 발표하고, 사 이버공간에서의 위험요소 감소를 통한 범죄대응 기회 포착, 보안지식 및 대응력제고, 의사결정체계 강화 등 사이버보안과 관련된 기본계획을 수립·조정한다.

내각부(CO)의 사이버보안청(OCSIA)은 사이버 범 죄를 포함한 영국의 사이버 보안 및 정보보증에 관한 전략적 방향을 제공한다. 또한 사이버 공간 확보와 관련하여 내각부와 국가 안보위원회를 지원하는 역할 을 한다.

사이버 위기관리에 대해서는 주로 내각부(CO)와 내무부(HO)가 소관하고 있다. 내각부의 사이버보안

청(OCSIA)은 정보보호 관련 활동에 대해 정부 전 체를 조정하는 역할을 맡고 있으며, 내무부(HO)는 테러·범죄 및 반사회적 위험으로부터 사회를 지키며, 주요 기반시설의 보호와 입국관리, 테러대응, 경찰 통솔 등을 담당하고 있다.

영국정부는 국가사이버보안센터(NCSC)가 공공·

민간 영역의 사이버보안을 종합적으로 관장하고 있 다. 국가사이버보안센터(NCSC)은 사이버보안 사고 를 식별하고 대응하며, 완화조치를 지원하고, 사이버 보안 위협에 대한 이해를 구축하는 역할을 하며, 공 공·민간의 사이버보안 관제 역할도 수행하고 있다.

그 외에도 본 연구에서 분류한 영국의 국가 사이버보 안의 주요 기능 별 수행 기관은 Fig.6과 같다.

3.4 일본의 사이버보안 거버넌스

일본은 IT기술의 발전으로 국민 생활, 사회, 경 제, 행정, 안보 등 국가의 모든 요소가 사이버 공간 에 귀속되자 이로 인한 위협이 국가 및 사회의 기반 을 흔드는 수준으로 확대되었다고 인식하고, 2020년 하계올림픽 개최에 초점을 맞추어 국가적으로 대대적 인 사이버보안 강화 정책을 추진하고 있다.

일본의 사이버보안 추진체계는 내각의 사이버보안 전략본부와 내각관방의 사이버보안센터를 중심으로 모든 기관이 각 분야에 따른 역할을 수행하고 있다.

ꡔ고도 정보통신네트워크 사회형성 기본법ꡕ에 따라 설 치된 고도정보통신네트워크 사회형성 추진 전략본부 (이하 IT 종합 전략 본부)는 IT분야 전반에 대한 정 책 및 전략을 총괄하고 정보통신 전략의 심의 및 조 정을 담당하고, ICT R&D 지원 정책 추진 등 국가 ICT 산업과 관련된 사안을 모두 다루고 있었으나, 2014년 11월 『사이버보안 기본법』이 제정된 이 후, IT 종합 전략본부의 기능 중 사이버보안에 관한 기능을 대부분 흡수하여 사이버보안 전략본부가 설립 되었다.

사이버보안 전략본부는 국가 전체의 사이버보안 전략을 수립하고 정부부처 및 지방공공단체와 협력하 여 정책을 조정하는 역할을 한다. 또한 사이버보안 전략본부는 기존의 IT전략본부, 국가안보회의와 중 요한 현안에 대해 함께 연계하고 협력하여 사이버보 안 세부 전략을 수립한다. 전략본부는 사이버보안 기 본법에 법적 근거를 두고 있고, 법에 명시된 권한을 부여받고 있기 때문에 실질적으로 민관 전체를 이끄 는 사이버보안 컨트롤타워 역할을 하고 있다.

Fig. 7. Japan’s Cyber Security Implementation System

Fig. 8. Implementing agency by cyber security function in Japan [24][25][26][27]

이처럼 일본의 사이버보안은 국가 사이버보안 컨 트롤타워 역할을 하는 사이버보안 전략본부와 사이버 보안센터(NISC)가 주도하여 추진하고 있지만, 『사 이버보안 기본법』은 이뿐만 아니라 모든 정부 기관 에게 사이버보안 관련 세부 책임과 역할들을 부여하 고 있다. 정부기관, 주요 인프라의 사이버보안 등 공 공 부문의 사이버보안과 관련되는 부처들은 의료·수 도를 담당하는 후생성, 철도·항공·물류 등의 교통을 담당하는 국토교통성, 전력·가스·화학·석유 등을 담 당하는 경제산업성, 건전한 금융 질서 확립을 담당하 는 금융청, 국가 통신망을 관장하는 총무성 등이 있 다. 이들은 사이버 위협을 받을 시 국가 기반이 무너 질 수도 있는 주요 인프라들을 소관하는 부처들이라 는 공통점이 있으며, 해당 부처들은 ‘2014 사이버보 안 전략’에서 언급한 횡적 사이버보안 대응체제 구축 으로 인한 자기 주도적 사이버보안 역량 강화라는 목 표에 부합할 수 있도록 각 소관 분야별 사이버보안 대응에 힘쓰고 있다.

한편 기업, 개인이 속해 있는 민간 부문을 소관하 는 부처들로는 외교·안전 보장을 담당하는 외무성, 사이버 범죄 수사를 담당하는 경찰청, 사이버 테러 대응 및 사이버전 전술·전략 수립을 담당하는 방위 성, 그리고 총무성과 경제산업성 등이 포함된다고 볼 수 있다. 이 중 총무성, 경제산업성, 경찰청, 방위성 은 정보보호 4대 주무부처라 불리는 주요 부처로써, 국가 사이버보안에 있어 각 분야별로 상당히 중요한 역할들을 부여받고 있다. 그 외에도 본 연구에서 분 류한 일본의 국가 사이버보안 기능 별 수행 기관은 Fig.8과 같다.

3.5 중국의 사이버보안 거버넌스

2011년 중국은 UN 총회에서 상하이 협력기구를 통해 국제 인터넷주소관리기구(ICANN)에 대한 체 제 변화를 주장하며 사이버공간에서의 주권 개념을 공개적으로 주장하였다[28]. 당시 중국은 사이버 공 간에서 제3국의 간섭은 배제되어야 하며 국가 주권 의 개념이 확립되어야 한다고 주장하였으며, 이러한 중국의 사이버 주권 개념은 자국 내 인터넷 사용 통 제 강화 및 사이버 안보 개념 확립으로 이어졌다 [29]. 이에 따라 중국은 Chinanet을 통한 일괄접 속을 통해 사이버 공간을 형성하고 있으며 반정부적 내용에 대하여 엄격한 통제를 가하고 있다. 2016년 11월 중국은 온라인 통제 강화를 주 내용으로 하고 있는 사이버보안법(網絡安全法)을 제정하여 2017년 6월부터 시행하였고, 2016년 12월에 ‘국가 사이버공 간 안전전략’을 마련, 발표하였다.

중국의 사이버 거버넌스의 최고 담당 기관은 중국 공산당 정치국 상무위원회(Politburo Standing

Fig. 9. China’s Cyber Security Implementation System

Fig. 10. Implementing agency by cyber security function in China [31][32]

Committee), 국무원(State Council), 중앙 군사 위원회(Central Military Commission)로 구성 된다[28]. 특히 2014년 설립된 ‘중앙인터넷안전정보 화영도소조’는 기존 국가정보화영도소조와 국가 네트 워크 및 정보안전 협력소조를 흡수하여 중국 공산당 정치국 상무위원회 아래 최고의사결정기관으로 작용 하고 있다[30]. 나아가 국가 안보와 사이버 공간에 서의 국가적 이익, 경제 발전 등을 위해 여러 분야에 서의 사이버 보안 및 정보화 문제들을 총괄 담당하고 있으며, 이로써 중국의 사이버 관련 정책의 지도적 역할을 수행하고 있다.

중국의 사이버보안 추진체계 관련 조직으로는 국 가안전부(MSS, Ministry of State Security), 공안부(MPS, Ministry of Public Security), 국가보밀국, 인터넷경찰 및 중국 침해사고 대응센터 등이 있다. 국가안전부 산하 기술정찰국은 국가암호 및 사이버 보안정책을 수립하여 사이버안전업무를 총 괄하고 있다. 공안부에서는 국가기밀에 관한 업무를 중심으로 중국 정부 기관에 납품하는 보안 제품 등에 대한 검사와 정보통신망 보안정책 및 관련 제품 개발 에 관여한다. 국무원 국가보밀국은 공공 분야의 국가 보안업무를 담당하여 보안 감사, 관련 정책 수립 및 통제, 감독 등의 업무를 수행한다. 인터넷 경찰은 사 이버 범죄 수사와 불온 사상의 전파 방지, 정보통신 망 취약성 발굴 및 경고 등을 수행한다. 신식산업부 (MIIT, Ministry of Industry and Information Technology) 산하에 비영리기관으 로 설치되어있는 중국 침해사고대응센터는 민간 분야 의 사이버 침해사고 대응 및 조사 등을 수행한다.

중국의 사이버보안 추진체계는 정보기관과 공안을 중심으로 이루어지고 있다는 점이 가장 큰 특징이다.

공산당 중앙위원회와 국무원이 최고 정책 기관으로서

사이버보안 전략 및 전술에 대하여 관여하고 있으며, 국가 사이버 위기 대응, 공공 및 민간 사이버 보안, 개인정보보호, 사이버보안 산업, 보안 역량 강화, 각 종 표준 개발, 사이버 범죄 수사와 사이버 안보 실 무, 위협정보 수집 등을 대부분 국무원 산하 공안부 및 인민해방군에서 담당하고 있다. 2014년 중국 최 고 의사결정기구인 정치국 상무위원회에 중앙인터넷 안전정보화영도소조를 설치하여 시진핑 주석이 조장 을 맡았다. 이를 통해 인터넷 통제 강화 또는 사이버 보안 강화를 위한 중국의 국가적 분위기가 형성되었 다. 국가안전부는 사실상 국내외에서 모든 정보활동 을 수행하고 있으며 공안부는 국내 안정을 위한 활동 을 수행하고 있다. 공안부는 국내에서의 사이버 범죄 수사 및 체제 유지를 위한 활동을 진행 중이다.

이처럼 중국은 국가 체제의 특성상 엄격한 통제와 국가안전부, 인민해방군 등 정보기관 중심의 사이버 보안 추진체계를 가지고 있다. 특히 인터넷 활성화에 따른 개방성과 해외와의 교류 활성화, 국민들의 정보 접근권 강화 등을 견제하며 체제의 유지와 안정을 위 한 사이버 공간을 형성하고자 하고 있다. 이러한 점 에서 중국은 국가 안보 및 사이버 보안 관련 민감한 사항에 대한 대외 공개를 최소화함으로써 사실상 폐

Fig. 11. Korea’s Cyber Security Implementation System

쇄적인 사이버 정책을 펼치고 있다. 이외에도 본 연 구에서 분류한 중국의 국가 사이버보안 기능 별 수행 기관은 Fig.10과 같다.

3.6 한국의 사이버보안 거버넌스

우리나라는 청와대 국가안보실이 국가 전반적인 사이버보안 컨트롤 타워 기능을 수행하고 유관 부처 차관급이 참석하는 국가사이버안전전략회의와, 국가 사이버 보안 관련 대책을 심의하는 국가사이버안전대 책회의를 통해 사이버보안 관련 주요 정책이 추진된 다. 또한 『국가사이버안전관리규정』에 의해 국가정 보원장 소속하에 설립된 국가사이버안전센터가 국가 사이버보안 정책 수립·조정 기능, 국가 사이버 위기 대응, 공공 영역 사이버 보안, 사이버 위협정보 수집 등 사이버보안을 위한 실질적인 기능을 대부분 수행 하고 있다. 각 분야별·기능별·대상별로도 전문성을 가진 국가 기관들이 분야에 맞는 사이버보안 기능을 수행하고 있다. 예를 들어, 과학기술정보통신부는 민 간영역 사이버보안, 사이버보안 산업 진흥, 사이버보 안 역량 강화 등의 역할을 수행하고 있고, 국방부는 사이버 안보와 관련된 기능을 담당하고 있다. 이 밖 에도 행정안전부는 전자정부 및 개인정보보호, 방송 통신위원회는 정보통신망법 적용 대상에 대한 사이버 보안 업무, 경찰청은 사이버범죄 예방 및 수사 기능, 금융위원회는 전자금융보안 정책 수립·이용자 보호·

안전성 보호 기능, 보건복지부는 의료 보안, 산업통 상자원부는 산업 보안 기능, 국가보안기술연구소는 정보보증 기능을 수행한다.

우리나라의 사이버보안 거버넌스의 중심체계는ꡔ국 가사이버안전관리규정ꡕ에 의거하여 구성되어 있다.

사이버안보비서관을 청와대 직속 국가안보실에 두고 있으며, 국가정보원 내 사이버안전센터를 설치하여 청와대 중심의 전반적인 사이버보안 컨트롤타워 기능 을 보다 강화하였다. 또한 국가정보원이 국가사이버 안전과 관련된 정책 및 관리에 대해 관계중앙행정기 관의 장과 협의하여 이를 총괄·조정하도록 되어 있 다. 국가정보원은 총괄·조정 업무를 효율적이고 체계 적으로 수행하기 위하여 관계 중앙행정기관의 장과 협의하여 국가 사이버안전기본계획을 수립·수행하여 야 하며, 국가사이버안전기본계획을 원활하게 추진하 기 위하여 관계 기관에 예산 반영 등에 관한 협조를 요청할 수 있다.

국가 사이버 위기 시에는 국가사이버안전센터가 사

이버 공격으로 인하여 발생한 사고의 조사 및 복구 지 원을 하여야 하며, 사이버위협에 대한 종합판단, 상황 관제, 위협요인 분석 및 합동조사 등은 국가사이버안 전센터 내의 민·관·군 합동대응반이 맡고 있다.

공공영역의 사이버보안에 대해서는 국가사이버안 전센터가 국가정보통신망의 안전성을 확인하고, 국가 사이버안전매뉴얼을 작성·배포하는 등 주도적인 역할 을 맡고 있으며, 민간 영역의 사이버보안에 대해서는 과학기술정보통신부와 한국인터넷진흥원이 인터넷침 해대응센터를 운영하는 등 국내 인터넷 상의 다양한 사이버 위협에 대한 예방·대비·대응·복구 역할을 분담 하고 있다.

사이버 보안 관련한 국제 협력에 대해서는 총괄하 여 담당하는 전담기관이 존재하지 않으며, 각 분야별 기관들이 국제 협력과 관련하여 필요에 맞는 조직과 기능을 분담하여 수행하고 있다. 국가정보원장 소속 하에 설치된 국가사이버안전센터가 국가 안보 및 보 안에 필요한 외국과의 사이버 위협 관련 정보 관련 협력 기능을 수행하고 있으며, 외교부의 외교정보 보 안담당관실은 외교정보보호·정보보안 유관기관과의 정보공유 및 협력 기능 등을 수행하고 있다. 한국인 터넷진흥원도 글로벌 사이버보안 협력네트워크 (CAMP)를 기반으로 주요 전략 국가와 우호 네트워 크를 구축하고 협력과제를 발굴하여 사이버보안 분야 의 국제협력 기반을 조성하고 있으며, 경찰청 사이버 안전국은 사이버국제협력팀을 두어 사이버범죄에 관 한 국제공조 활동을 수행하고 있다.

사이버 범죄 수사와 관련한 업무는 경찰청의 사이 버안전국이 맡고 있다. 사이버안전국은 사이버범죄를 예방하고 사이버공간의 치안을 확보하여 국민이 안심 하고 이용할 수 있도록 하고 기업이 활동하기에 안전 한 환경을 조성하는 것을 비전으로 하고 있으며, 민

Fig. 12. Implementing agency by cyber security function in Korea[38]

간, 유관기관, 외국과의 긴밀한 협력을 바탕으로 선 제적 사이버범죄 예방 정책을 발굴·시행하여 국민·기 업· 국가의 피해를 최소화하며 지속적인 연구개발로 인적· 물적 자원과 기술의 전문성을 높이고, 선택과 집중을 통해 효율적으로 주요 범죄를 제압하여 사이 버치안을 확보하는 기능을 수행하고 있다.

사이버안보에 대한 역할은 ꡔ국가사이버안전관리규 정ꡕ, ꡔ국군사이버사령부령ꡕ에 근거하여 국방부가 수 행하고 있다. ꡔ국가사이버안전관리규정ꡕ에 따라 국가 정보원이 사이버안전대책의 수립·시행 등의 기능을 맡고 있음에도 불구하고 국방 분야의 사이버안전과 관련하여서는 국방부가 그 업무를 수행하도록 명시하 고 있다. 또한 국방부는 『국군사이버사령부령』을 근거로 국방 사이버전(戰)의 기획, 계획, 시행, 연 구·개발 및 부대 훈련에 관한 사항을 관장하기 위하 여 국방부장관 소속으로 국군사이버사령부를 운영하

고 있으며, 사이버사령부는 국방 사이버전의 기획 및 계획 수립, 국방 사이버전의 시행, 국방 사이버전 전 문 인력의 육성과 기술 개발, 국방 사이버전을 Homeland Security 대비한 부대 훈련, 국방 사 이버전 유관기관 사이의 정보 공유 및 협조체계 구축 등의 기능을 수행하고 있다.

사이버 위협정보 수집과 관련한 기능은 ꡔ국가정보 원법ꡕ을 근거로 국가정보원이 국외 정보 및 국내 보 안정보의 수집ㆍ작성 및 배포 업무를 맡고 있으며, 국가정보원장 소속하에 설치된 국가사이버안전센터도 사이버위협 관련 정보의 수집·분석·전파와 관련한 업 무를 수행하고 있다. 이외에도 본 연구에서 분류한 우리나라의 국가 사이버보안 기능 별 수행 기관은 Fig.12과 같다.

IV. 국가별 사이버보안 거버넌스 특징과 한국에 의 정책적 시사점

국가별로 사이버보안 거버넌스의 지향점이 상이하 며, 각 국이 가지고 있는 법제도 환경과 문화 또한 다르기 때문에 여러 국가의 사이버보안 거버넌스를 동일한 기준으로 단순 비교 분석을 수행하는 방법으 로는 유의미한 결과를 도출하기 어렵다. 따라서 본 논문에서는 각 국 사이버보안 거버넌스의 특징에 주 목하여 국가별로 유독 강조하고 있는 주요 사이버보 안의 기능이 무엇인지 분석하고 그 특징을 식별하며, 우리나라 사이버보안 거버넌스 개선에 참고할 수 있 는 정책적 시사점을 도출하여 제시하고자 한다.

우선 미국은 다 수의 사이버 테러 대응 경험에 입 각하여 사이버 공간을 새로 부상하는 전장으로 인식 하고, 국가 사이버 위기관리 기능을 강화하는데 초점 을 맞추고 있고, 2015년 사이버안보법 제정을 통해 명확한 법적 근거를 기반으로 해당 기능을 더욱 강화 하였다는 점에서 정책적 시사점이 있다. 미국은 사이 버 위기 발생 시 관리 및 대응을 위한 체계를 국토안 보부 국가보호프로그램실(NPPD)의 국가사이버안보 통신통합센터로 집중시켰으며, 국가사이버안보통신통 합센터(NCCIC) 산하 센터통합운영국이 센터의 활 동 전반에서 분석, 정보 공유 및 사고 대응력을 동기 화하기 위해 계획, 조정 및 통합 기능을 수행하고 있 다[33]. NCCIC의 설립 근거와 역할은 사이버안보 법에 근거함으로써 미국의 통합적 사이버안보 거버넌 스의 핵심 역할을 할 수 있도록 하였다[34]. 이에 따라 연방 정부와 민간을 포함한 비 연방주체가 서로

정보를 공유하고, 원활한 협력·조정이 이루어지고 있 으며, 기존 국가 사이버보안 실무를 총괄하던 국토안 보부와 민간과의 관계에서도 NCCIC가 연결점의 역 할을 수행하고 있다. 나아가 2015년 2월 민간 사이 버보안 정보공유 촉진 행정명령¹⁾을 통해 민간 조직 사이, 혹은 민간과 공공기관 사이의 정보공유와 협력 대응을 담당하는 정보공유분석기관(ISAO)을 설립하 도록 하였다. 이에 따라 국토안보부의 NCCIC는 민 간과의 정보 공유를 위해 정보공유분석기관(ISAO) 과 지속적이고 포괄적인 조정의 역할을 수행하고 있 다. 반면 우리나라의 경우, 국가 사이버보안에 대한 총괄 입법체계가 부재하여, 국가차원에서 사이버테러 방지 및 위기관리 업무를 체계적으로 수행할 수 있는 제도와 거버넌스가 명확히 정립되어 있지 않고[35], 사이버보안 대응체계가 공공과 민간으로 분리되어 있 어 체계적인 대응도 어려운 상황이다. 현재의 사이버 보안 대응체계의 근거법인 「국가사이버안전관리규 정」은 행정기관만을 대상으로 하고 민간과 입법·사 법기관은 적용되지 않고 있어 민간부문의 사이버공격 을 실시간으로 탐지·차단하거나 신속하게 대응하기엔 법률적 한계가 존재한다. 때문에 우리나라도 미국의 사이버안보법을 참고하여 사이버보안 업무를 총괄 집 행할 수 있는 부처를 신설하거나 관련 권한을 적정 조직에 명확히 부여할 필요가 있다. 또한 미국은 9.11 테러부터 각종 위협 및 사이버 공격 등의 경험 을 바탕으로 국가 안보에 관한 국가적 공감대가 갖춰 진 국가지만 우리나라는 이러한 인식이 미국만큼 높지 는 않기 때문에, 대통령 수준에서의 사이버보안에 대 한 관심과 정책 추진 의지가 뒷받침되어야 할 것이다.

독일은 2017년 연방정보기술보안청 법(BSI Act) 개정을 통하여 BSI의 사이버보안과 관련된 국 내 활동 여건을 강화하고 BSI와 정보기관 간 효율 적인 정보공유를 할 수 있도록 하는 제도적 기반을 만들었다는 점에서 시사점이 있다. 독일은 일찍이 BSI가 지휘 하에 공공과 민간이 신속한 정보공유를 하도록 하는 국가사이버대응센터를 운영하고 있으며, 나아가 최근 BSI법 개정을 통해 BSI에 연방정부 및 주요 인프라에 대한 복구권한을 부여하고, 다수의 대외정보기관 및 군사정보기관과 필요한 정보를 공유 할 수 있도록 하였다. ‘2016 독일 사이버전략’에서는 연방 정부와 주정부 간 협력을 강화하기 위해 BSI 의 사이버 보안사고 대응과 관련한 국가 당국의 지원

1) Promoting Private Sector Cybersecurity

Information Sharing Executive Order 13691

을 새로운 과제로 설정하였다. 사이버보안에 있어 BSI 및 관계기관의 국내 활동이 강화되면서 국가안 보에 관련된 사이버공간의 문제를 관계기관들이 보다 유기적으로 해결할 수 있는 체계를 지속 발전시키고 있는 것이다[36]. 반면, 우리나라는 각 기관별, 부문 별 사이버 위협정보 공유가 원활히 되지 못하고 있으 며, 특히 국가정보원을 중심의 정보공유체계는 민간 부문에 대해서는 구속력이 없는 상황이다. 따라서 정 보기관을 포함하는 정보공유 체계, 민·관 협력 사이 버위기 대응 체계 마련에 있어 최근 독일의 법제도 개선 사례를 참고할 필요가 있다.

영국은 정보기관의 성격을 가진 국가사이버보안센 터(NCSC)에 막강한 권한을 주고, 다른 부처의 권 한까지 집중시키어 실질적이고 효과적인 사이버보안 의 중추 역할을 맡기고 있다는 점에서 앞으로의 국내 사이버보안 거버넌스 개선을 위한 참고사례가 될 수 있다. 본 연구의 분석 결과 NCSC는 16가지의 국가 사이버보안 기능 중 무려 6가지의 기능을 수행하고 있었으며, 타 기관들과 협력하여 관여할 수 있는 기 능까지 포함한다면 거의 대부분의 국가 사이버보안 기능을 수행하고 있었다. NCSC는 정보공유와 관련 해서도 보안부(SS), 비밀정보부(SIS), 정보통신본 부(GCHQ)와 긴밀히 협력하며, 보안부 부령에 의해 경찰관서의 특수활동국과도 공조가 가능하다. 또한 2016년 말 통과된 수사권한법(Investigatory Act)은 인터넷서비스 업체가 1년 동안 인터넷 이용 자의 기록을 보관하도록 강제하고 있으며, 정보기관 의 요청 시 이에 대한 접근이 가능하도록 하고 있다.

만일 현재 논의되고 있는 우리나라의 「국가사이버보 안기본법(가칭)」이 국가정보원을 컨트롤타워로 하게 될 시, 사이버공간에 실존적인 위협에 대처할 수 있 는 확실한 권한과 적법성을 부여한 영국의 사례를 참 고할 만하다. 또한 국민의 프라이버시 침해 우려 등 에 대비하여 영국이 사법 및 보안법(Justice and Security Act 2013)에 마련해 둔 제도적 견제 수 단과, 영국이 앞으로 내놓을 법·제도적 보완책들도 주의 깊게 지켜볼 필요가 있다.

일본은 2014년 사이버보안 전략에서 언급한 ‘횡적 사이버보안 대응체제 구축’을 목표로 자기 주도적 사 이버보안 역량 강화 전략을 택하고 있었다. 국가 사 이버보안의 주도적 역할은 사이버보안 전략 본부와 사이버보안센터(NISC)가 하되, 2015년 제정한 사 이버보안기본법이 모든 정부 기관에게 사이버보안 관 련 책무를 명확히 명시함에 따라 기관 간 관할 문제

및 업무상 중복·마찰 문제를 최소화하였다. 또한 사 이버보안기본법은 단순히 정부부처 뿐만 아니라 국가 의 구성원인 지방공공단체, 연구기관, 기업체, 국민 등의 사이버보안 관련 활동에 대한 사항까지 명확히 지정함으로써, 사이버 위협에 대한 사회적 혼선을 최 소화하고 위기상황에 체계적으로 대응할 수 있는 발 판을 마련하였다. 일본의 사례는 특히 정부부처 사이 의 이해상충의 문제와 권한 집중 및 오남용의 우려 등으로 인해 사이버보안기본법의 입법이 지연되고 있 는 우리나라의 현 상황에 있어 해결의 실마리를 제공 해줄 수 있을 것으로 보인다.

중국은 국가안전부, 인민해방군 등 정보기관이 사 이버보안을 주도하고 있으며, 특히 2016년 11월 제 정된 「네트워크보안법」은 정부가 영장 청구 등의 절차 없이 네트워크 사업자에 대해 정부가 특정 기술 및 데이터 검열을 요청할 수 있도록 하고 있다. 이처 럼 중국은 사이버 공간을 국가 주권 수호의 개념에서 접근 중이며, 이러한 국가 전략과 제정된 법률들을 볼 때 과도하게 인터넷 통제를 강화하고 있고 국민의 기본권인 표현의 자유, 프라이버시 등을 저해할 수 있는 요소도 상당히 많다. 따라서 우리나라도 앞으로 중국 사이버보안 정책 추진 과정과 그에 따라 나타나 는 정책 효과 또는 부작용들에 대해 면밀히 관찰하여 향후 정책 방향 수립에 참고할 필요가 있다.

V. 결 론

주요국들은 미국 국가 안보 전략(2015년), EU 사이버보안 전략(2013년), 독일 사이버보안전략 (2016년), 영국 국가사이버보안전략(2016년), 일본 사이버보안전략(2015년), 중국 국가 사이버공간 안 보 전략(2016년), 한국 국가사이버안보 강화방안 (2015년) 등 최근 공통적으로 국가 사이버안보전략 을 앞다투어 발표하고 있다. 해당 전략들과 관련 법, 그리고 거버넌스 구성과 사이버보안 기능 별 수행 기 관 등을 비교 분석해본 결과 다음 몇 가지로 최근 거 버넌스 추진의 공통적 특징을 정리할 수 있었다.

첫째, 국가 거버넌스 추진의 목표가 포괄적인 관 점으로 확장되고 있다. 국가 정책이 포괄하여야 할 부분이 기존 정보보호나 사이버 위협에 대비한 국가 방위의 범위에서 산업 보안, 금융 보안, 의료 보안, 개인정보보호 등 다양한 분야의 관련 산업 전반으로 확장됨에 따라, 국가 내에서 운용되는 모든 사이버 공간의 안전과 신뢰를 목표로 두는 관점으로 전환되

고 있는 것이다. 예를 들어 과거의 국가 사이버보안 전략에서는 ‘국가 정보기반시설보호’, ‘국가 중요 인프 라 보호’, ‘사이버 안보 및 국방’등이 주요 키워드로 명시되었던 반면, 최근 발표되는 국가 사이버보안 전 략들에서는 ‘안전한 디지털 환경 구축’, ‘신뢰할 수 있 는 사이버 공간’등의 키워드들이 주로 사용되어 국가 정책으로 포괄하고 있는 영역으로 보다 넓어진 것을 볼 수 있었다. 이에 따라 각 국은 금융 보안, 산업 보안, 의료 보안 등 각 분야를 관장하는 기관에 사이 버보안을 전담하는 조직을 신설하고, 필요시 사이버 위협을 관제할 수 있는 분야 별 사이버보안 관제센터 를 설치하도록 하고 있었으며 도움이 필요할 시 정부 의 사이버위협 합동대응팀에 협력을 요청할 수 있도 록 체계를 정비해가고 있었다.

둘째, 주요국들은 각 국이 구축한 국가 사이버보 안 통합 대응 체계의 효율성을 극대화하기 위한 전략 을 택하고 있다. 주요국들은 2010년도 전후로 사이 버보안 전략, 계획을 발표하고 법률을 제·개정하여 각 국이 처한 환경에 적합한 사이버보안 거버넌스를 구축하였으며, 최근에는 해당 체계에서 법적·제도적 으로 발견되는 문제점들이나 비효율적인 부분을 수 정·보완하고, 주요 역할을 수행하는 기관 중 법적 권 한이 없거나 미비했던 기관에는 법의 제·개정을 통해 법적 권한을 더욱 강화하는 등의 움직임을 보이면서 사이버보안 정책의 실효성과 지속가능성을 높이고 있 었다. 예를 들어 영국은 사이버보안의 효율성을 높이 기 위해 정부의 정책, 조직 및 구조를 단순화시키고 자 노력하고 있으며, 이를 위해 국가사이버보안센터 (NCSC)를 설립하고 전략, 법률 등을 통해 기존에 다른 부처가 가지고 있던 사이버보안 기능 다수를 해 당 기관으로 이동시키고 있다. 반면 일본은 횡적 사 이버보안 대응체계 구축을 목표로 자기 주도적 사이 버보안 역량 강화를 위해 노력하고 있으며, 이를 위 해 각 소관 분야별 정부 기관에게 사이버보안 관련 책무와 권한을 분담시키고 연계부처에서 내각의 사이 버보안센터와 협력 업무를 추진할 수 있도록 개별 조 직을 신설하였다.

셋째, 주요국들은 4차 산업혁명 시대가 도래함에 따라 사이버보안 정책을 국가 방위의 관점만이 아닌 국가 경제 발전을 위한 핵심 과제로 인식하고 있다.

각 국이 최근 발표한 국가 사이버보안 전략에는 공통 적으로 국가 사이버보안 강화를 통한 경제의 활력, 지속가능한 발전, 사이버 공간의 안전과 신뢰의 확보 를 강조하고 있으며 사이버보안 연구 촉진 및 투자

확대, 사이버보안 인식 제고, 사이버보안 인력 양성 등을 통해 사이버보안 산업 자체의 기반을 강화하고 사이버보안 산업을 국가 주요 핵심 분야로 키우고자 하는 움직임을 보이고 있다. 이를 위해 각 국은 사이 버보안 산업 강화, 사이버보안 역량 강화 등을 위한 담당 기관을 지정하여 운영하고 있으며, 관련 정책 수행을 위한 예산 투자도 매 년 빠른 속도로 늘리고 있다.

넷째, 정보 공유 및 사이버 위협 공동 대응을 위 한 협력 체계가 강화되고 있다. 갈수록 사이버위협의 수준이 고도화됨에 따라 한 기관이 가지고 있는 정보 와 기관 내 담당 인력만으로는 사이버 위협에 대한 대응이 불가능해짐에 따라, 부처 간 협력, 민·관·군 의 협력과 정보 공유가 필수적인 상황이 된 것이다.

이에 따라 미국은 정부부처조정위원회(GCCs) 및 분야별전문기관(SSAs)를 통해 연방 기관들 간의 협 업을 장려하고 있으며, 민간분야에서도 분야별협력위 원회(SCC)와 정보공유분석센터(ISACs)을 설립하 여 공동체 차원에서 사이버보안 위협에 대응하고 있 다. 일본 또한 최근 총무성 주도로 민관 정보공유분 석센터(Telecom-ISAC)을 구축하고, 경찰청을 중 심으로 방위 및 첨단기술 관련 기업 간 사이버 인텔 리전스 공유 네트워크를 구축했을 뿐만 아니라 경제 산업성 주도로 주요 인프라 관련 기업 간 사이버정보 공유 이니셔티브(J-CSIP)를 구축하는 등 적극적으 로 사이버 위협 정보 공유 기능을 강화하고 있다.

다섯째, 국제 협력을 통한 사이버보안 대응 체계 를 구축하고자하는 움직임이 두드러지고 있다. 주요 선진국들은 제대로 된 사이버 위협 대응 체계를 구축 하기 위해서는 타 국가와의 국제 협력이 반드시 필요 함을 인식하고 있었으며, 이를 위해 각국의 국가 정 보기관, 외교 담당 기관, 경찰 기관에 공통적으로 사 이버위협 대응을 위한 국제 협력 및 수사 공조 기능 을 부여하고 있었다. 더불어 거버넌스 특성에 따라 대통령 혹은 총리 산하의 사이버보안센터에 사이버보 안 관련 국제 협력 기능을 부여하고 있는 국가도 있 었다. 특히 독일이 EU, NATO 등과의 국제 협력을 통해 사이버보안 대응 체계 구축하기 위해 상당한 노 력을 하고 있었으며, EU도 한 회원국이 사이버 공 격을 당한 경우 EU차원에서 모든 회원국이 대응할 수 있다고 선언하는 등[37], 앞으로 국제 협력을 통 한 사이버보안 대응 체계 구축은 선택이 아닌 필수가 될 것으로 보인다.

4차 산업혁명의 시대라고 불리는 현대 사회에서

사이버 보안 없는 국민 안전, 국가 방위, 국가 안보 는 무용지물이 될 것이며, 앞으로 국가의 사이버보안 역량은 국가 경쟁력의 핵심 기반이 될 것으로 예상된 다. 사이버 공간에서는 더 이상 어떤 국가도 우리의 안위를 보장해줄 수 없으며, 우리 스스로 사이버보안 능력과 역량을 갖춰야만 한다.

우리나라 사이버보안 정책은 주로 사건이 발생한 뒤 이에 대해 즉흥적으로 대책을 발표하고 법률을 제 정하는 등 사후 대응의 형태로 형성되어왔기 때문에, 국가 사이버보안 거버넌스의 체계완결성이 부족한 것 이 사실이며 각 기관들의 사이버보안 기능 수행의 근 거도 명확하지 못한 편이다. 따라서 앞으로 국가 사 이버보안 전략의 기조에 맞는 사이버보안에 대한 개 념을 명확히 정의하고 사이버보안 컨트롤타워 및 관 계 기관들의 법적 권한을 명확히 부여해줄 수 있는 사이버보안 기본법을 서둘러 마련해야 한다. 더불어 주요 선진국들이 부처 간, 기관 간 정보 공유 체계 및 협력 체계를 구축하고 있다는 점도 반영하여 부처 및 기관 사이에 협업 체계를 공고히 할 수 있는 법적 기구와 시스템을 마련하는 것도 입법적 차원에서 반 드시 고려되어야 할 것이다.

References

[1] Boannews(2018.04.17.), “Although the summit is approaching, the cyber attack, which is presumed to be North Korea, is ongoing”. http://ww w.boannews.com/media/view.asp?idx=

68529&kind=1

[2] arsTECHNICA(2018.04.28.), “As two Koreas shake hands, Hidden Cobra hackers wage espionage compaign”.

https://arstechnica.com/tech-policy/20 18/04/as-two-koreas-shake-hands-hidd en-cobra-hackers-wage-espionage-cam paign/

[3] Stephen J. Cimbala & Roger N.

McDermott, “A New Cold War? Mi- ssile Defenses, Nuclear Arms Redu- ctions, and Cyber War”, Comparative Strategy, pp.95-111, 2015

[4] Sangbae Kim, “Cybersecurity Stra- tegies of Major Powers in World

Politics: From the Comparative Perspective of National Strategies”, Journal of International and Area Studies, vol. 26, No. 3, pp.67-108, 2017

[5] Deloitte, “2016 Deloitte Asia-Pacific Defense Outlook”, 2016

[6] Sangdon Park, Injung Kim, “A Study on Tasks for the Legal Imporvement for the Governance System in Cybersecurity”, Convergence security journal, Vol. 13, No. 4, pp.1-3, 2013.

[7] Korea Internet&Security Agency, “A Comparative Law Study on the Cybersecurity Response System”, 2015 [8] Ji-Hyun Kim, “Proposal of Cyber

Security Control Tower System in view of Korea’s Constitutional Law”, Journal of Security Engineering, Vol.

11, No.1, pp.25-40, 2014

[9] Sim, Kwang-ho, Lee, Cheouljoo, Park, Jae-Hyung, “Cyber Terror and Shadow Risk: A Study on the Design of Governance System for the National Cyber Security of Korea”, The Journal of Political Science & Communication, Vo.16, No.1, pp.265-296, 2013

[10] Jong-In Lim, “Cyber security policy proposal for the Hyper-connectivity society”, Policy study of National Science and Technology Advisory Council, Vol. 2014, No. 5, 2014

[11] The White House, “National Security Strategy”, 2015.02.

[12] The Department of Defense, “The DoD Cyber Strategy”, 2015.04.

[13] The White House, “Cybersecurity National Action Plan”, 2016.02. Home- land Security, “NATIONAL CYBER INCIDENT RESPONSE PLAN”, 2016.12.

[14] Homeland Security, “NATIONAL CYBER INCIDENT RESPONSE PLAN”, 2016.

12.

[15] Homeland Security, “Comprehensive

National Cybersecurity Initiative”, 2008.01.

[16] European Commission, “Cybersecurity Strategy of the European Union : An Open, Ssfe and Secure Cyberspace”, 2013.07.

[17] European Parliament and of the Council, “Directive on Network Info- rmation Security”, 2016.07.

[18] Federal Ministry of the Interior,

“Cyber Security Strategy for Germa- ny”, 2011.02.

[19] Bundesministerium des Innern, “Cyber -Sicherheitsstrategie für Deutschland”, 2016.11.

[20] Cabinet Office, “The UK Cyber Security Strategy 2011-2016”, 2011.

[21] HM Government, “National Cyber Se- curity Strategy 2016-2021”, 2016.11.

[22] HSCIC, “Health and Social Care Information Centre Strategy 2015-2020”, 2015.03.

[23] UK Cabinet Office, “A National Info- rmation Assurance Strategy”, 2007.06.

[24] 務省,“識情報社会の実現に向けた情報通信政策の 在り方”, 2012. http://www.soumu.go.jp/

main_content/000169616.pdf

[25] Information Security Policy Council,

“Japan Cybersecurity Strategy : Towards a world-leading, resilient and vigorous cyberspace”, 2013.06.10.

[26] Cabinet Decision, “Japan Cyberse- curity Strategy”, 2015.10.04.

[27] Ministry of Defense, “NATIONAL DEFENSE PROGRAM GUIDELINES for FY 2014 and beyond”, 2013.12.17.

[28] Mikk Raud, “China and Cyber:

Attitudes, Strategies, Organisation”, CCDCOE, 2016

[29] Youn Bonghan, “A Study on China’s Cyber Security Legislation and Policy:

Implications of China’s New Cyber Security Law and Our Responses”, Policy Study, Vol 189, 53p, 2016